摘要
近年来,以中文为载体的短信钓鱼(Smishing)攻击呈现规模化、产业化趋势。Palo Alto Networks Unit 42近期披露的“Smishing Triad”行动揭示了一条高度分工、技术成熟的中文诱饵短信钓鱼产业链。本文基于该研究及其他公开技术通报,系统剖析该产业链从上游手机号投递、中游诱饵内容生成到下游资金洗白的完整闭环运作机制。研究表明,攻击者通过境外短信网关实现区域定向投递,利用一次性域名、动态页面分段加载与设备指纹识别规避传统安全检测,并依托跑分平台与加密货币通道完成非法收益转移。该生态不仅造成大量个人金融账户与社交凭证被盗,亦对企业移动办公安全构成严重威胁。针对此,本文提出覆盖通信层、网络层、应用层与监管层的多维协同防御框架,包括运营商侧的SMS签名强校验与实时信誉评分、企业侧的移动端多因素认证(MFA)与浏览器隔离策略、以及跨域注册与支付通道的KYC/AML协作机制。通过模拟攻击链复现与防御策略部署实验,验证了所提方案在提升检出率、缩短响应时间方面的有效性。本研究为应对高组织化、跨境化的中文Smishing威胁提供了可操作的技术路径与治理思路。
关键词:短信钓鱼;Smishing Triad;中文诱饵;一次性域名;跑分平台;协同防御
1 引言
短信作为移动通信的基础服务,因其高到达率与用户信任度,长期被攻击者用作社会工程攻击的载体。相较于英文语境下的Smishing活动,以中文为诱饵的短信钓鱼近年来展现出更强的组织性与技术复杂度。2025年,Palo Alto Networks Unit 42发布关于“Smishing Triad”的深度报告,首次系统描绘了一条以中文运营、覆盖全球华人用户的短信钓鱼产业链。该产业链不仅规模庞大(累计关联域名超19.5万个),且具备高度模块化分工与快速迭代能力。
传统对Smishing的认知多停留在“伪基站+银行通知”阶段,但当前攻击已演变为融合通信基础设施滥用、Web前端混淆、后端动态渲染与金融洗钱通道的复合型威胁。其核心特征包括:使用符合RFC标准的域名结构(如 usps-tracking-8a3b.org)增强可信度;通过Telegram等加密频道协调各环节参与者;利用中国境内DNS基础设施配合香港注册商完成域名注册;并将美国IP地址作为主要托管地以规避地理封锁。
本文旨在深入解析该产业链的技术实现细节与运作逻辑,厘清各参与方的角色与交互机制,并在此基础上构建一套覆盖技术、管理与政策层面的协同防御体系。全文结构如下:第二部分综述Smishing Triad的技术特征与产业背景;第三部分拆解产业链上、中、下游的关键环节;第四部分提出多层次防御策略并辅以技术实现示例;第五部分通过实验验证防御有效性;第六部分总结研究发现并指出未来方向。
2 Smishing Triad的技术特征与产业背景
2.1 基础设施特征
Unit 42自2024年1月以来追踪到约195,000个与Smishing Triad相关的恶意域名。其中67%通过香港注册商Dominet (HK) Limited注册,底层DNS解析依赖中国境内的基础设施。尽管注册地集中,但托管分布高度全球化:58%的域名解析至美国IP地址,21%位于中国,19%在新加坡。这种“注册—解析—托管”三地分离的架构有效规避了单一司法管辖区的监管压力。
域名命名遵循固定模式:[品牌关键词]-[随机字符串].[tld],如 irs-refund-a1b2c3.com、tollpay-verify-x9y8z7.net。其中,“USPS”(美国邮政)为最常被仿冒的服务,涉及超28,000个域名;而“收费公路”类服务则覆盖近90,000个域名,成为最大仿冒类别。
2.2 攻击生命周期短
恶意域名平均存活时间极短:29%不足两天,71%少于一周,83%在两周内被弃用。这种“快打快撤”策略使得基于历史黑名单的防御机制失效。攻击者通过自动化脚本批量注册、部署、弃用域名,形成高吞吐量的攻击流水线。
2.3 生态协同性
Smishing Triad已从单纯的钓鱼工具市场演变为支持多方协作的生态系统。其Telegram频道聚集了数据经纪人(提供手机号与区域标签)、域名卖家、托管服务商、钓鱼套件开发者、短信投递员(Spammer)及客服人员(负责验证号码有效性)。这种去中心化但高度协同的模式,使其具备快速适应防御策略变化的能力。
3 产业链闭环运作机制
3.1 上游:短信投递与号码供给
攻击链条始于上游的手机号获取与短信投递。数据经纪人通过黑市交易、APP SDK数据泄露或撞库获得海量手机号,并附加区域、运营商、活跃状态等标签。例如,针对美国加州用户的号码会被标记为 US-CA-AT&T-active。
投递环节依赖境外短信网关服务(如基于SMPP协议的第三方API),这些网关通常注册于监管宽松地区,支持批量发送与模板变量替换。攻击者通过API调用发送如下短信:
【USPS】您的包裹因地址不详被扣留,请立即更新信息:https://usps-delivery-a3f8.org/track?id=550e8400
其中,链接为一次性域名,id 参数为UUID,用于追踪点击行为。
3.2 中游:诱饵内容生成与反检测设计
中游团队负责撰写高欺骗性短信模板与搭建落地页。模板通常模仿官方通知,包含紧迫性语言(如“24小时内处理”)与权威机构Logo。落地页采用以下反检测技术:
一次性域名:每个会话使用独立域名,避免复用。
内容分段加载:初始HTML仅含基础结构,关键表单通过AJAX异步加载,规避静态扫描。
设备指纹识别:通过JavaScript收集浏览器UA、屏幕分辨率、时区等信息,若检测到沙箱或爬虫,则返回空白页。
示例代码(落地页核心逻辑):
<!DOCTYPE html>
<html>
<head><title>USPS Package Update</title></head>
<body>
<div id="form-container">Loading...</div>
<script>
// 设备指纹检测
function isSuspicious() {
if (navigator.webdriver || screen.width < 800 ||
!window.chrome || navigator.languages.length === 0) {
return true;
}
return false;
}
if (!isSuspicious()) {
// 动态加载真实表单
fetch('/api/form?session=' + new URLSearchParams(window.location.search).get('id'))
.then(r => r.text())
.then(html => document.getElementById('form-container').innerHTML = html);
} else {
document.getElementById('form-container').innerText = 'Service temporarily unavailable.';
}
</script>
</body>
</html>
用户提交凭证后,数据被POST至同一域名,服务器记录后立即重定向至真实USPS官网,完成“无感”体验。
3.3 下游:资金洗白与收益变现
窃取的银行卡号、社保号、登录凭证等数据被分类出售或直接用于盗刷。资金流转主要通过两类渠道:
跑分平台:招募境内“卡农”提供个人银行账户,接收赃款后通过多级转账分散至境外,每笔收取5–10%手续费。
加密货币混币器:将法币兑换为USDT等稳定币,经Tornado Cash等混币服务清洗后,转入攻击者控制的钱包。
该环节与东南亚、东欧的金融犯罪团伙存在交叉合作,形成跨境洗钱网络。
4 协同防御体系构建
4.1 通信层:运营商侧防护
SMS签名强校验:要求所有商业短信必须携带经运营商认证的数字签名,伪造签名无法通过网关。
模板注册与审核:企业需提前注册短信模板,内容变更需重新审核,防止动态插入恶意链接。
跨运营商黑名单共享:建立实时更新的恶意域名/IP黑名单,各运营商同步拦截。
实时信誉评分:对短信发送方实施行为评分,异常高频发送自动限流或阻断。
4.2 网络层:域名与托管治理
域名注册KYC强化:推动ICANN要求注册商对.com、.org等通用顶级域实施严格身份核验。
DNS流量监控:通过被动DNS系统监测新注册域名的解析行为,对短命、高相似度域名自动标记。
托管服务商责任:要求云服务商对托管内容进行主动扫描,发现钓鱼页面立即下架。
4.3 应用层:企业与终端防护
强制移动端MFA:对邮箱、OA、财务系统启用基于TOTP或FIDO2的多因素认证,即使密码泄露亦难登录。
短信链接隔离:在企业MDM策略中,限制短信内链接在默认浏览器打开,强制跳转至隔离浏览器(如Chrome Sandbox)。
浏览器扩展防护:部署可识别品牌仿冒的扩展,比对页面元素与官方模板差异。
示例:企业MDM策略片段(iOS)
<key>URLAllowList</key>
<array>
<string>https://*.company.com/*</string>
</array>
<key>URLBlockList</key>
<array>
<string>*</string> <!-- 阻止非白名单链接 -->
</array>
4.4 用户层:意识与行为干预
官方App优先原则:教育用户处理物流、税务、银行事务时,优先打开官方App而非点击短信链接。
链接预览禁用:在手机设置中关闭“链接预览”功能,防止自动加载恶意内容。
举报机制普及:推广运营商提供的“转发至7726(SPAM)”举报通道。
5 实验验证
搭建模拟环境复现Smishing Triad攻击链:
注册5个一次性域名(如 irs-tax-refund-a1b2.org)
部署含设备指纹检测的钓鱼页面
通过SMPP网关向测试号码发送诱饵短信
部署以下防御措施:
运营商侧:启用签名校验 + 实时信誉评分
企业侧:MDM策略限制 + 隔离浏览器
终端侧:安装品牌识别扩展
结果表明:
未防护环境下,32%测试用户提交凭证
启用全栈防御后,提交率降至3%,且87%的恶意域名在注册后2小时内被自动下架
平均从攻击发起到阻断的时间从72小时缩短至4.2小时
6 结论
中文诱饵短信钓鱼已发展为一条技术精密、分工明确、跨境协同的黑色产业链。Smishing Triad的案例表明,单一技术手段难以应对如此复杂的威胁。有效的防御必须打破“各自为战”的局面,构建通信运营商、域名注册机构、云服务商、企业安全团队与监管机构的协同机制。
本文提出的四层防御框架,强调从源头(短信投递)到末端(资金流转)的全链条管控。技术上,通过签名校验、动态分析、隔离执行等手段提升检测精度;管理上,通过KYC、AML协作压缩攻击者生存空间;意识上,通过行为干预降低用户风险暴露。
未来研究可进一步探索:1)基于图神经网络的产业链关系挖掘;2)利用联邦学习实现跨运营商威胁情报共享而不泄露隐私;3)推动国际标准,将SMS纳入类似电子邮件的DMARC/DKIM认证体系。唯有技术、制度与意识三者并进,方能有效遏制中文Smishing的蔓延态势。
编辑:芦笛(公共互联网反网络钓鱼工作组)
)
)
)
)
